事例:名古屋工業大学様文教

1万1000台の機器をMAC認証とWeb認証によるダイナミックVLANで使用
-管理者・利用者の双方にメリットあるネットワークに-

名古屋工業大学では、管理が容易で利便性も高く、管理者・利用者双方のメリットが高いMAC認証によるダイナミックVLANを使用してきた。しかし、ヒューマンエラーによってネットワーク全体がダウンしてしまうというトラブルが多発し、その解決法を求めていた。アラクサラネットワークス製品の導入によって、この課題を解決するだけでなく、利便性・可用性・セキュリティの向上まで実現したという名古屋工業大学の事例を紹介しよう。

名古屋工業大学大学院 教授 情報基盤センター センター長 全学情報システム統括責任者補佐 工学博士 松尾啓志氏 / 名古屋工業大学大学院 教授 情報工学専攻、情報工学科 担当 情報工学教育類長 情報基盤センター ネットワーク・セキュリティ部門長(兼務) 工学博士 内匠逸氏 / 名古屋工業大学大学院 准教授 情報基盤センター 博士(情報科学) 打矢隆弘氏

MACアドレス認証によるダイナミックVLANのメリット

名古屋工業大学は、名古屋市に本部を置く工科系単科大学。「ひとづくり、ものづくり、未来づくり」というキャッチコピーを掲げ、将来の世界を担う多様な人材を育てている。

これまで名古屋工業大学では、2003年に構築したネットワークで「MACアドレス認証によるダイナミックVLAN」を使用していた。

VLANの設定方法はいろいろあるが、スイッチのポートごとに割り当てる「ポートVLAN」を使用するケースが多い。この方法ではスイッチのポート単位に所属するVLANを設定するだけでいいため、非常にシンプルに設定できる。しかし、その場所、そのポートでなければ決まったVLANを使用できないというデメリット面もある。教室や研究室など複数の場所でVLANを使用したい場合、ポートVLANは利用できない。そこで名古屋工業大学では、MAINS(Meikoudai Advanced Information Network System)というMACアドレス認証によるダイナミックVLANを使ったネットワークを構築し、稼働させた。ネットワーク機器に割り振られている固有のMACアドレスを利用することで、どのポートからでもVLANを利用できるようになったのである。

「"MACアドレス認証によるダイナミックVLAN"は、MACアドレスの登録とVLANへのひも付けさえしてしまえば、非常に楽に運用できます。利用者にとっては、意識せずどこでもVLANが使えるというメリットもあります」と情報基盤センター・センター長の松尾啓志教授は説明する。

ネットワークダウンも頻繁 さまざまな課題も浮き彫りに

当時、MACアドレス認証によるダイナミックVLANはまだ新しい技術で、採用しているメーカーは非常に少なかった。こうした状況下で、名古屋工業大学はスイッチを選定した。

「実際に使ってみると、さまざまな問題がありました。例えば、ケーブルの誤接続による"ループ"です。これが起こると、ネットワークがすべてダウンしてしまい、研究や授業、事務作業などの実務にも影響が及びました。どこで問題が発生しているのかも分からないので、スイッチから線を抜き、調査して復旧していました。復旧に関して、最終的にはほぼ職人芸の域まで達していたのではないでしょうか」と、情報基盤センター・ネットワーク・セキュリティ部門長の内匠逸教授は当時を振り返る。

さらに、名古屋工業大学の場合、事務作業はすべてシンクライアント端末で行われる。つまりネットワークが利用できないと、業務ができなくなってしまうのだ。もちろん、PC教室を使った授業やレポート提出なども行うことができない。ネットワークは、重要なインフラであり、障害などで停止するとその影響は多岐にわたってしまう。ネットワークの障害が頻繁に起きることは、大きな課題となっていたのだ。

なお、名古屋工業大学のネットワーク管理は、主に二人で行っている。ケーブルの誤接続のたびに、非常に少ない人数で対応していた。工数という面で考えても、ケーブルの誤接続は、同校の課題となっていた。

「ケーブルの誤接続は、頻繁に起きていました。特に、学生が誤接続する場合が多いです。ヒューマンエラーは、どうしても避けることができません。その影響を最小限にする方法を模索していました」と打矢隆弘准教授は説明する。

アラクサラネットワークス製品で利便性・可用性が向上

そのような経験を積んできた名古屋工業大学が新MAINSとして、ネットワークを2010年1月に新たに構築した。新MAINSではアラクサラネットワークスのコアスイッチ「AX6700S」、エッジスイッチ「AX3640S」が採用された。

これらのスイッチには、ケーブルの誤接続を検知する「ループ検知」機能が搭載されている。この「ループ検知機能」を使い、ループが起きた際はすぐにポートを閉塞し、一定時間後ポートをオープンするようにした。これで、常時ネットワーク管理をしていなくても、影響を最小限にとどめ、自動的に復旧できるようになった。

「本年度に入ってからも、約2週間で5回も誤接続が起きています。しかし、ネットワーク自体は全く止まりませんでした。可用性が向上した新MAINSを高く評価しています」と松尾氏は語る。

新MAINSでは、エッジスイッチ1台あたり1000端末のダイナミックVLANが利用でき、どの建屋でも自分のVLANを利用できる環境が構築された。最大2万台の機器を接続することも可能だ。さらに、アラクサラネットワークス製のスイッチは、802.1x認証、Web認証、MAC認証のトリプル認証に対応している。アラクサラネットワークス製品を導入したことで、Web認証もできるようになったのだ。接続時に機器の認証が可能な認証ネットワークという、名古屋工業大学の要件を満たしつつ、新たな付加価値も提供できているのだ。

新しい技術で信頼性やセキュリティの向上も実現

名古屋工業大学では、他にもアラクサラネットワークス製品を導入したメリットを感じているという。フォールト・トレラント技術*1もその一つだ。

「まず驚いたのが、そのサイズです。これまで複数のラックを占有されていましたが、コアスイッチとエッジスイッチをあわせてもラック半分程度です。さらに、コアスイッチはフォールトトレラント技術を使っているため、信頼性も十分です」と松尾氏。

コアスイッチとエッジスイッチを合わせてもラック半分程度に収まっている

信頼性を向上させるため、複数台のスイッチで冗長化構成とする場合、どうしてもスペースが必要になる。しかし、フォールトトレラント技術を利用したスイッチであれば、1台の筐体で、複数台のスイッチによる冗長化構成と同等の信頼性が得られるだけでなく、スペースも大幅に削減できる。

また、万が一、何らかの障害が起き、名古屋工業大学だけで対応できなくなっても、アラクサラネットワークスがすぐに駆けつけてくれるという安心感がある。機器としての信頼性だけではない付加価値を感じているのだ。

「ほかの大学でも同じものを使っているという実績が、安心感につながっています。さらに、国内ベンダーであるという安心感も大きいと思います。何か問題が起きたとしても即座に対応してくれるので、そのサポートには大きく期待しています」と内匠氏。

さらにネットワークパーティション*2も活用し、従来サブネットベースであったアクセスコントロールをIPアドレス・ポートごとに設定できるようにした。これにより、学外に公開しなければならないIPアドレスを最小限とし、外部からの攻撃に対するセキュリティも高めている。

「ネットワークパーティションは用途に応じて"プライベート"、"グローバル"、"情報基盤"、"管理セグメント"の4つに分けて利用しています。当初は研究室ごとに個別のポリシーを割り当てるという案もあったのですが、それぞれの研究室がポリシーを設定するのは現実的ではないと判断しました」と松尾氏は説明する。

新MAINSが稼働する際、大きな課題となったのが構築期間である。名古屋工業大学の場合、ネットワークは「使えて当たり前」で、使えなければ授業や業務に大きな支障が出てしまうインフラだ。旧MAINSから新MAINSへの切り替えのタイミングで少なからず、ネットワークの停止が余儀なくされる。しかし、実際の切り替え時にネットワークを止めたのは2日だけ。もちろん、検証作業などは別の場所で行っていたのだが、驚異的な早さといえよう。これも、名古屋工業大学の課題に誠実に応えるアラクサラネットワークスのサポート力のなせる技といえそうだ。

新MAINSの稼働により名古屋工業大学のネットワークは、利便性・可用性・セキュリティの向上を図ることができた。今後はこのネットワークのさらなる活用を行っていくという。名古屋工業大学の使いこなしは、ほかの多くの大学でも参考になる部分が多いだろう。

*1
フォールト・トレラント技術
装置内部の各部品ごとに二重化を行い、障害時に短時間で切り替えを実施することで「止まらないシステム」を実現する技術
*2
ネットワークパーティション
ネットワークを論理的に分割し、分割した各ネットワーク間のセキュリティや独立性を保つ、シンプルで効率的なネットワーク運用を実現する技術

AX6700SによるFTNとネットワークパーティション AX3640SによるダイナミックVLAN認証

名古屋工業大学

名古屋工業大学

名古屋工業大学は、100年を超える歴史を誇り、これまで7万人を超える優れた人材を輩出し、日本の産業社会の礎を築き、その繁栄を支えてきている。情報基盤センターでは、高度な情報技術を駆使した学生サポート環境の構築をはじめ、多くの多彩なサービスを展開している。